Где хранится пароль от учетной записи windows 10
Перейти к содержимому

Где хранится пароль от учетной записи windows 10

  • автор:

Управление сохраненными именами пользователей и паролями на компьютере под управлением Windows XP, который не входит в домен

В этой статье описывается управление сохраненными именами пользователей и паролями на компьютере, который не входит в состав домена.

При входе на компьютер под управлением Windows XP можно указать имя пользователя и пароль, которые станут контекстом безопасности по умолчанию для подключения к Интернету или к другим компьютерам в сети. Однако эти учетные данные могут открывать доступ не ко всем нужным ресурсам. Функция сохранения имен пользователей и паролей позволяет сохранять дополнительные имена и пароли как часть профиля.

Функция «Сохранение имен пользователей и паролей» предоставляет безопасное хранилище для паролей. Благодаря ей имена пользователей и пароли для доступа к разнообразным сетевым ресурсам и приложениям (например, к электронной почте) можно ввести один раз, а затем Windows автоматически, без вмешательства пользователя, будет подставлять учетные данные при последующих посещениях этих ресурсов.

Введение в управление учетными данными

При первом входе на сервер или посещении веб-узла вам предлагается указать имя пользователя и пароль. При вводе имени пользователя и пароля для доступа к определенному ресурсу и установке флажка Сохранить пароль учетные данные сохраняются в учетной записи пользователя. При последующем подключении к этому ресурсу Windows автоматически выполняет проверку подлинности учетной записи, используя сохраненные учетные данные.

В случае установки флажка в поле Сохранить пароль в диалоговом окне ввода имени пользователя и пароля (оно появляется при подключении к ресурсу) учетные данные сохраняются в наиболее общей форме. Например, при доступе к определенному серверу в домене учетные данные могут быть сохранены как *.домен.com (где домен — это имя домена). Сохранение других учетных данных для другого сервера в этом домене не приводит к их перезаписи. Новые учетные данные сохраняются с использованием более подробной информации.

При доступе к ресурсу пакет проверки подлинности выполняет в хранилище функции «Сохранение имен пользователей и паролей» поиск наиболее подробных учетных данных, соответствующих ресурсу. Если такие данные найдены, они будут использованы пакетом проверки подлинности без участия пользователя. Если же данные не найдены, программе, которая пыталась получить доступ к ресурсу, будет выдана ошибка проверки подлинности. В этом случае пользователю будет предложено ввести имя и пароль.

Сохраненными учетными данными можно управлять вручную. Для этого необходимо щелкнуть Управление сетевыми паролями в учетной записи пользователя, которую вы хотите изменить. В диалоговом окне Сохранение имен пользователей и паролей можно добавить новую запись, удалить существующую запись или просмотреть свойства существующей записи и отредактировать ее. Для этого нажмите кнопки Добавить, Изменить или Свойства.

Управление сохраненными именами пользователей и паролями

Для управления сохраненными именами пользователей и паролями выполните следующие действия.

  1. Войдите на компьютер как пользователь, учетные данные которого необходимо изменить.
  2. Нажмите кнопку Пуск и выберите Панель управления.
  3. В разделе Выберите категорию щелкните Учетные записи пользователей, чтобы открыть диалоговое окно Учетные записи пользователей.
  4. Откройте диалоговое окно Сохранение имен пользователей и паролей. Для этого сделайте следующее.
  5. Если вы входите в систему с ограниченными правами:
    1. В разделе Родственные задачи щелкните Управление сетевыми паролями.
    1. В разделе или выберите изменяемую учетную запись щелкните свою учетную запись, чтобы открыть диалоговое окно Что вы хотите изменить в своей учетной записи?.
    2. В разделе Родственные задачи щелкните Управление сетевыми паролями.

    Будет показан список сохраненных имен пользователей и паролей, аналогичный приведенному ниже:

    Добавление записи

    Чтобы добавить учетные данные вручную:

    1. В диалоговом окне Сохранение имен пользователей и паролей щелкните Добавить, чтобы открыть диалоговое окно Свойства личных данных для входа.
    2. В поле Сервер введите имя необходимого сервера или общего ресурса. В качестве подстановочного символа используйте звездочку. Ниже приведены примеры правильных имен серверов: *.Microsoft.com
      \\Сервер\Общий ресурс
    3. В поле Имя пользователя введите имя учетной записи пользователя с правами доступа к ресурсу. Вводите имя пользователя в формате Сервер\Пользователь или Пользователь@домен.com. Следующие примеры иллюстрируют правильные имена пользователей (в данном примере Microsoft — это имя домена, а Пользователь — имя пользователя): Microsoft\Пользователь
      Пользователь@microsoft.com
    4. В поле Пароль введите пароль пользователя, указанный на шаге 3, и нажмите кнопку ОК.
    5. В диалоговом окне Сохранение имен пользователей и паролей нажмите кнопку Закрыть.
    Удаление записи

    Чтобы удалить учетные данные

    1. В диалоговом окне Сохранение имен пользователей и паролей выберите необходимые учетные данные и щелкните Удалить. На экране появится следующее сообщение: Выбранные сведения о входе в систему будут удалены.
    2. Нажмите кнопку ОК.
    3. В диалоговом окне Сохранение имен пользователей и паролей нажмите кнопку Закрыть.
    Изменение записи

    Чтобы изменить учетные данные

    1. В диалоговом окне Сохранение имен пользователей и паролей выберите необходимые учетные данные и щелкните Свойства, чтобы открыть диалоговое окно Свойства личных данных для входа.
    2. Измените необходимые данные и нажмите кнопку ОК.

    Устранение неполадок

    При таком способе сохранения учетных данных пользователя для удаленных ресурсов любой, кто получает доступ к этой учетной записи, также может получить доступ к таким ресурсам, защищенным паролем. Поэтому рекомендуется использовать надежный пароль для учетной записи Windows XP.

    Для получения дополнительных сведений о создании надежных паролей нажмите кнопку Пуск и выберите команду Справка и поддержка. В поле Поиск введите «создание надежных паролей»и нажмите кнопку Начать поиск.

    Ссылки

    Дополнительные сведения об управлении сохраненными именами пользователей и паролями см. в следующих статьях базы знаний Майкрософт:

    306992 Управление сохраненными именами пользователей и паролями на компьютере в домене

    281660 Описание работы функции «Сохранение имен пользователей и паролей»

    Где хранятся пароли в реестре и файловой системе Windows

    В данной статье речь идет не о дешифрации паролей, а о том, где они хранятся в реестре и файловой системе Windows. В настоящее время, пароли приложений и служб хранятся в зашифрованном виде, и для их восстановления используется специальное программное обеспечение, как например Password Recovery Tools от Nirsoft. Знание местонахождения пароля не позволит перенести его на другой компьютер или в профиль другого пользователя, поскольку современное программное обеспечение разрабатывается, как правило, с учетом предотвращения такой возможности. Однако, подобную информацию можно использовать в познавательных целях и для удаления нежелательно сохраненных паролей.

    Сетевые пароли Windows

    Пароли, запоминаемые при подключении к сетевому ресурсу, например \\Server\Share , могут быть запомнены, если пользователь включит соответствующий режим запоминания пароля. Пароль будет сохранен в зашифрованном виде в специальном файле, владельцем которого является данный текущий пользователь. Имя и путь файла отличаются для разных версий Windows.
    Для Windows XP/2003 сетевые пароли хранятся в скрытом файле:

    Профиль пользователя\Application Data\Microsoft\Credentials\User SID\Credentials

    Профиль пользователя — папка \Documents and Settings\Имя пользователя\
    User SID — идентификатор Security ID в виде S-1-5-21-299502267-1085031214-1801674531-1003

    Также, сетевые пароли хранятся в файле

    Профиль пользователя>Local Settings\Application Data\Microsoft\Credentials\User SID\Credentials

    Для Windows Vista и более поздних, пароли сохраняются в файле:

    Профиль пользователя\AppData\Roaming\Microsoft\Credentials\Random ID

    Профиль пользователя — папка \Users\Имя пользователя\
    Random ID — имя файла в виде случайного набора символов 16-ричной системы счисления, например — DDEB0D2FF2A975E572C07B00A6E3FA28

    А также в файле:

    профиль пользователя\AppData\Local\Microsoft\Credentials\Random ID

    Утилита из Password Recovery Tools от Nirsoft — Network Password Recovery.

    Пароли к Dialup/VPN подключениям.

    Пароли к Dialup/VPN подключениям также можно сохранить при включении пользователем соответствующего режима. Местом хранения в данном случае является системный реестр, ветвь HKEY_LOCAL_MACHINE\Security\Policy\Secrets\. , доступ к которой имеет только локальная системная учетная запись, под которой обычно выполняются системные службы. Соответственно, обычный пользователь или пользователь с правами администратора не смогут получить доступ к ветви реестра HKLM\Security и его ключам и параметрам. Поэтому, потребуется либо выполнение редактора реестра под локальной системной учетной записью, либо изменение разрешений для ветви реестра HKEY_LOCAL_MACHINE\SECURITY\ , например для полного доступа администратору системы. Изменение разрешений может выполнить администратор через контекстное меню, вызываемое правой кнопкой на ключе HKEY_LOCAL_MACHINE\SECURITY\ . После изменения разрешения необходимо либо перезапустить редактор реестра, либо обновить его окно (нажать F5). После завершения работы с разделом HKLM\Security\. разрешения необходимо восстановить в исходном виде.

    Для запуска редактора реестра regedit.exe под локальной системной учетной записью можно воспользоваться, например, утилитой PSexec из состава пакета PSTools. Для этого, в командной строке, выполняющейся под учетной записью с правами администратора, нужно выполнить команду:

    psexec -s -i regedit.exe — выполнить regedit.exe под локальной системной учетной записью (параметр -s ) в интерактивном режиме (параметр -i )

    Если в системе сохранялись пароли, то в разделе HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\ будут присутствовать подразделы, имена которых начинаются строками RasDialParams и RasDefaultCredentials , например:

    Пароли в Internet Explorer.

    Пароли к Internet Explorer версии 6.0 и более ранних сохранялись в защищенном хранилище ( Protected Storage ) Windows, представляющем собой подразделы ключа реестра HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider . Начиная с версии IE7, пароли хранятся в виде учетных записей (имя пользователя, пароль, сайт) в реестре и файлах, размещаемых в профиле пользователя. Используется ключ реестра

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
    и, как и для сетевых паролей, скрытый файл Credentials в подкаталоге профиля пользователя
    …Application Data\Microsoft\Credentials

    Пароли в обозревателе Mozilla Firefox.

    Пароли хранятся в файлах, имена которых зависят от версии браузера (signons.txt, signons2.txt, signons3.txt для Firefox версий 1x-3x) и в группе файлов, размещаемых в профиле пользователя по пути
    Профиль пользователя\Application Data\Mozilla\Firefox\Profiles\Профиль Firefox\
    Профиль Firefox — каталог с именем из случайного набора символов, определяется содержимым файла
    «Профиль пользователя\Application Data\Mozilla\Firefox\profiles.ini» Пример:
    [General]
    StartWithLastProfile=1
    [Profile0]
    Name=default
    IsRelative=1
    Path=Profiles/olv9c5bt.default     — имя каталога с профилем Firefox

    В профиле Firefox хранятся все индивидуальные настройки пользователя, пароли, история, куки, закладки, дополнения и т.п. Также здесь присутствует файл key3.db, используемый для шифрования и расшифровки паролей.

    Пароли в обозревателе Google Chrome.

    Пароли обозревателя Google Chrome запоминаются в файле
    Профиль пользователя\Local Settings\Application Data\Google\Chrome\User Data\Default\Web Data
    Файл ”Web Data” является базой данных SQLite для хранения паролей к сайтам и некоторых других параметров обозревателя. Также, в профиле Google Chrome хранится вся история, куки, дополнения и настройки .

    Пароли в обозревателе Opera.

    Пароли сохраняются в файле wand.dat который находится в каталоге Профиль пользователя\Application Data\Opera\Opera\profile

    Пароли почтовых клиентов.

    Outlook Express и Outlook 98/2000 — пароли хранятся в защищенном хранилище Windows (Protected Storage), так же, как и у старых версий Internet Explorer.

    Утилита из Password Recovery Tools от Nirsoft — Protected Storage Passview.

    Windows Live Mail — все настройки, включая сохраненные пароли хранятся в каталогах:
    Профиль пользователя\AppData\Local\Microsoft\Windows Live Mail\Почтовая учетная запись»
    Пароли и прочие параметры почтовой учетной записи хранятся в XML-файле с именем, начинающемся строкой account и с расширением .oeaccount

    Outlook 2002 более поздние — пароли для подключения к серверам POP3,IMAP,SMTP хранятся в ключе реестра
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\\[Account Index]
    Если используется учетная запись для подключения к серверу Exchange, то пароли сохраняются в файле Credentials , как и сетевые пароли Windows.

    Mozilla ThunderBird — пароли почтовых учетных записей хранятся в файле с расширением .s который находится в каталоге:
    Профиль пользователя\Application Data\Thunderbird\Profiles\[Profile Name]

    Сохраненные в системе пароли – это всегда дополнительный риск их утраты. Конечно, пароли к почтовым аккаунтам нет смысла вводить в ручном режиме при каждом подключении к почтовому серверу, но, например, пароли от личных кабинетов, административных панелей сайтов, от FTP-доступа к ним и т.п. сохранять не стоит, потому, что рано или поздно это может привести к их краже вредоносным программным обеспечением.

    Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

    Запоминание и удаление паролей в Microsoft Edge

    При посещении веб-сайта, на который требуется войти, Microsoft Edge спросите, хотите ли вы запомнить имя пользователя и пароль. При следующем посещении этого сайта браузер автоматически подставит ваши учетные данные. По умолчанию сохранение паролей включено, но его можно отключить.

    Отключение и отключение сохранения паролей

    1. Выберите Параметры и другие >Параметры .
    2. Выбор профилей >паролей
    3. Включите или отключите offer для сохранения паролей.

    Примечание: Отключение сохранения паролей не удаляет ранее сохраненные пароли.

    Просмотр сохраненных паролей

    1. Выберите Параметры и другие>Параметры .
    2. Выберите Профили >пароли.

    «Удалить сохраненные пароли»

    1. Выберите Параметры и другие>Параметры .
    2. Выберите Конфиденциальность, поиск и службы.
    3. В области Очистка данных браузеравыберите выберите, что нужно очистить.
    4. Выберите Пароли, а затем очистить.

    Технический обзор паролей

    Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows 7, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Vista

    В этом разделе ит-специалистов объясняется, как Windows реализует пароли в версиях Windows, начиная с Windows Server 2012 и Windows 8.1. В нем также рассматриваются надежные пароли, парольные фразы и политики паролей.

    Как хранятся пароли в Windows

    В этой статье содержатся сведения о хранении паролей «неактивных».

    Windows представляет пароли в строках ЮНИКОД 256 символов, но диалоговое окно входа ограничено 127 символами. Поэтому самый длинный возможный пароль имеет 127 символов. Такие программы, как службы, могут использовать более длинные пароли, но их необходимо установить программным способом.

    Операционная система Windows сохраняет пароли различными способами для различных целей.

    Пароли, хранящиеся как OWF

    Для использования в сети Windows, включая домены Active Directory, пароль хранится двумя разными способами: как односторонняя функция LAN Manager (LM OWF) и как NT OWF. «Односторонняя функция» — это термин, который обозначает односторонняя математическая трансформация данных. Преобразуемые данные можно преобразовать только с помощью шифрования одним способом и не могут быть отменены. Наиболее распространенным типом односторонней функции является криптографический хэш. Хэш — это небольшой набор данных, который математически привязан к некоторому большему набору данных, из которого вычисляется хэш. Если изменяется более крупный набор данных, хэш также изменяется. Хэши полезны, например, как проверка sum, чтобы убедиться, что данные не были изменены в передаче. Криптографический хэш — это хэш, который выполняет определенные свойства. Криптографический хэш должен, например, создаваться таким образом, чтобы он был математически неубедим в разумном количестве времени для вывода большего набора данных только из хэша. Аналогичным образом, математически невозможно найти два набора больших данных, которые создают один и тот же хэш.

    Существует множество различных типов односторонняя функция. Все хэш-функции — это односторонняя функция. Однако обычные криптографические функции, которые обычно являются обратимыми, также можно использовать для создания односторонняя функция. Это можно сделать, переключив данные и ключ в криптографической функции и зашифровав фиксированное значение (ключ) с помощью данных в качестве ключа. Вот как вычисляется хэш LM. Хэш LM вычисляется следующим образом:

    1. Пароль заполняется байтами NULL до 14 символов. Если пароль длиннее 14 символов, он заменяется 14 байтами NULL для оставшихся операций.
    2. Пароль преобразуется во все верхние регистры.
    3. Пароль разделен на два 7-байтовых (56-разрядных) ключа.
    4. Каждый ключ используется для шифрования фиксированной строки.
    5. Два результата из шага 4 объединяются и хранятся как хэш LM.

    Алгоритм OWF LM включен в Windows для обратной совместимости с программным обеспечением и оборудованием, который не может использовать более новые алгоритмы.

    Хэш NT — это просто хэш. Пароль хэшируется с помощью алгоритма MD4 и сохраняется. NT OWF используется для проверки подлинности членами домена как в Windows NT 4.0, так и в более ранних доменах и в доменах Active Directory.

    Ни хэш NT, ни хэш LM не соленые. Соль — это процесс, который объединяет пароль со случайным числовым значением (солью) перед вычислением односторонняя функция.

    Пароли, хранящиеся в Active Directory

    Неактивных паролей хранятся в нескольких атрибутах базы данных Active Directory (NTDS). DIT-файл). Эти атрибуты перечислены в следующей таблице:

    Атрибут Active Directory Содержимое
    unicodePwd Зашифрованный хэш NT
    dbcsPwd Зашифрованный хэш LM
    ntPwdHistory Зашифрованные хэши NT — журнал паролей
    lmPwdHistory Зашифрованные хэши LM — журнал паролей
    supplementalCredentials Ключи Kerberos, WDigest и т. д.

    Хранилище хэшей LM по умолчанию отключено с Windows Vista и Windows Server 2008.

    Дополнительные сведения о дополнительных учетных данных см. в разделе MS-SAMR: дополнительные функцииCredentials и дополнительные структуры учетных данных.

    Пароли, хранящиеся в локальном SAM

    На членах домена и рабочих станциях хэши паролей учетной записи локального пользователя хранятся в локальной базе данных диспетчера учетных записей безопасности (SAM), расположенной в реестре. Они шифруются с помощью одинаковых алгоритмов шифрования и хэширования, что и Active Directory. Пароли в атрибуте дополнительныхCredentials для учетных записей локальных пользователей также хранятся в локальной базе данных SAM с Windows Server 2016.

    Кэшированные учетные данные

    Windows также сохраняет средство проверки паролей в членах домена, когда пользователь домена входит в этот член домена. Этот проверяющий средство можно использовать для проверки подлинности пользователя домена, если компьютер не может получить доступ к контроллеру домена. Средство проверки паролей также часто называется кэшируемыми учетными данными. Он вычисляется путем приема хэша NT, объединения имени пользователя к нему, а затем хэширования результата с помощью хэш-функции MD4.

    Как работают пароли в Windows

    В Windows и многих других операционных системах одним из способов проверки подлинности удостоверения пользователя является использование секретной фразы или пароля.

    Мы рекомендуем использовать безопасную многофакторную проверку подлинности, например смарт-карту, FIDO и Windows Hello для бизнеса. Однако проверка подлинности паролей по-прежнему требуется в некоторых сценариях.

    Для защиты сетевой среды требуется, чтобы надежные пароли использовались всеми пользователями. Это помогает избежать угрозы злоумышленника, угадывающего слабый пароль, будь то с помощью ручных методов или с помощью средств, чтобы получить учетные данные скомпрометированного пользователя. Это особенно верно для административных учетных записей. При регулярном изменении сложного пароля снижает вероятность успешной атаки паролей.

    Параметры политики паролей управляют сложностью и временем существования паролей. Политики паролей влияют на пароли Windows, а не обязательно функции паролей.

    Возможность изменения паролей пользователей регулируется политиками паролей и доступными интерфейсами. Например, через Secure Desktop пользователи могут изменять пароль в любое время на основе политик паролей, администрируемых системным администратором или администратором домена. Такие функции, как Windows Vault, BitLocker и шифрование файловой системы, позволяют пользователям изменять пароли, относящиеся к этой функции.

    Использование паролей в Windows

    При входе пользователя пароль, который типы пользователей преобразуются в оба типа односторонних функций и хранятся в памяти процессом службы подсистемы локального центра безопасности (LSASS). Если пользователь, использующий локальную учетную запись для проверки подлинности, NT OWF сравнивается с локально хешированием NT и если они совпадают, пользователь вошел в систему. Если пользователь выполняет проверку подлинности в домене Active Directory с помощью имени узла для доступа к ресурсу, хэш NT используется в входе Kerberos в центр распространения ключей (KDC), который обычно является контроллером домена.

    Kerberos нельзя использовать в следующих ситуациях:

    • Проверка подлинности в домене под управлением Только Windows NT 4.0 или более ранней версии
    • Доступ к ресурсу в члене домена Active Directory с помощью IP-адреса, а не имени узла
    • Доступ к ресурсу на компьютере, который не является членом домена Active Directory
    • Доступ к ресурсу на компьютере, который является членом домена Active Directory, но не является доверенным по вашему домену
    • Доступ к любому ресурсу на компьютере под управлением, который не поддерживает Kerberos

    В этих ситуациях процесс проверки подлинности использует два разных протокола, называемых LAN Manager и NTLM. Процесс начинается с клиента, запрашивающего вызов с сервера проверки подлинности. После получения задачи клиент вычисляет ответ на эту проблему. Это делается путем первого заполнения двух хэшей пароля со значениями NULL до 168 бит. Затем 168 бит каждого хэша разделяются на три 56-разрядных клавиши DES. Затем шесть ключей DES используются для шифрования задачи. Три текста шифра, созданные с помощью хэша LM, объединяются и становятся ответом LAN Manager. Три текста шифра, созданные с помощью хэша NT, объединяются и становятся ответом NTLM.

    Функции, используемые для вычисления ответа, могут быть изменены параметром уровня совместимости LM в параметре сетевой безопасности: параметр групповой политики уровня проверки подлинности LAN Manager. Если это значение равно 1 или ниже, клиент отправит исходные ответы LAN Manager и NTLM. Если задано значение 2, отправляется только ответ NTLM. Если для него задано значение 3 или выше, используется новая версия обоих протоколов. Версия NTLM называется NTLMv2. Версия lan Manager часто называется LMv2. Оба протокола используют хэш NT для вычисления ответа и используют вызов на стороне клиента, а не или в дополнение к вызову сервера. Кроме того, если для параметра уровня совместимости LM задано значение 1 или выше, то ответ NTLM отметается по времени, чтобы предотвратить атаки на воспроизведение. Сведения о параметре уровня совместимости LM см. в разделе «Безопасность сети: уровень проверки подлинности LAN Manager».

    Надежные пароли

    Пароли предоставляют первую строку защиты от несанкционированного доступа к вашей организации. Начиная с Windows Server 2003, Windows проверка сложность пароля для учетной записи Администратор istrator во время установки операционной системы. Если пароль пуст или не соответствует требованиям сложности, диалоговое окно установки Windows предложит создать надежный пароль для учетной записи Администратор istrator. Если вы оставьте этот пароль пустым, вы не сможете получить доступ к этой учетной записи через сеть.

    Слабые пароли предоставляют злоумышленникам легкий доступ к компьютерам и сети, а надежные пароли значительно сложнее взломать. В следующей таблице сравниваются слабые и надежные пароли.

    Слабый пароль Надежный пароль
    Пробел Длиной по крайней мере семь символов
    Содержит легко обнаруживаемые или известные сведения, например имя пользователя или доменное имя Содержит «секрет» или случайные сведения
    Аналогично предыдущим паролям Значительно отличается от предыдущих паролей
    Содержит полное слово словаря Содержит сочетание следующих символов:

    Примером надежного пароля является J*p2leO4>F.

    Пароль может соответствовать большинству критериев надежного пароля, но по-прежнему довольно слабым. Например, Hello2U! является относительно слабым паролем, хотя он соответствует большинству критериев для надежного пароля, а также соответствует требованиям к сложности политики паролей. H!elZl2o — это надежный пароль, так как слово словаря пересекается с символами, цифрами и другими буквами. Важно обучить пользователей преимуществам использования надежных паролей и научить их создавать пароли, которые на самом деле сильны.

    Вы можете создать пароли, содержащие символы из расширенного набора символов ANSI. Использование расширенных символов ANSI увеличивает количество символов, которые можно выбрать при создании пароля. В результате может потребоваться больше времени для программного обеспечения взлома паролей, чтобы взломать пароли, содержащие эти расширенные символы ANSI, чем это делает для взлома других паролей. Прежде чем использовать расширенные символы ANSI в пароле, тщательно протестируйте их, чтобы убедиться, что пароли, содержащие расширенные символы ANSI, совместимы с приложениями, которые использует ваша организация. Обратите особое внимание на использование расширенных символов ANSI в паролях, если в вашей организации используется несколько различных операционных систем. Например, эти системы могут стандартизироваться в ISO-8859-15. Фактическая реализация протокола в Windows часто использует ЮНИКОД или UTF8, а не фактическую кодировку ANSI.

    Примеры паролей, содержащих символы из расширенного набора символов ANSI, — kUμ!\0o и Wf©$0k#»gªrd.

    Парольные фразы в Windows

    Парольная фраза — это другая форма пароля на основе токенов, в которой маркеры являются словами вместо символов из набора символов. Пример парольной фразы — это предложение, содержащее специальные символы, цифры, прописные буквы и строчные буквы. Основные различия между парольными фразами и паролями:

    • Парольная фраза обычно имеет пробелы; пароли не выполняются.
    • Парольная фраза гораздо длиннее, чем подавляющее большинство слов, и, что более важно, дольше, чем любая случайная строка букв, которые обычный человек мог вспомнить.

    Парольная фраза, соответствующая ограничению символов, как заданная в политике, обычно сложнее взломать, чем пароли, так как они содержат больше символов. Это хэш LM и NT, который хранит пароль или парольную фразу, и хэш LM является слабее двух.

    Существует несколько способов убедиться, что хэш LM не хранится; одним из них является использование паролей или парольной фразы дольше 14 символов. Вы также можете использовать сетевую безопасность: не сохраняйте хэш-значение LAN Manager в следующем параметре групповой политики изменения пароля. Использование этого параметра политики глобально отключает хэши хранилища LM для всех учетных записей. Изменение вступают в силу при следующем изменении пароля. Так как эффект политики не является непосредственным, вы не сразу заметите какие-либо потенциальные проблемы взаимодействия, вызванные отсутствием хэшей LM.

    Локальные политики паролей, доступные в Windows

    Вы можете реализовать параметр политики паролей, который применяет требования к сложности паролей. Дополнительные сведения об этом параметре политики см. в разделе «Пароль» в соответствии с требованиями к сложности. Сведения о применении политики паролей см. в разделе «Применение или изменение политики паролей». Сведения обо всех доступных параметрах политики паролей см. в разделе «Политика паролей».

    Более детальной политики паролей, доступной через службы домен Active Directory (AD DS)

    Начиная с Windows Server 2008, вы можете использовать многоуровневые политики паролей для указания нескольких политик паролей и применения различных ограничений паролей и политик блокировки учетных записей к разным наборам пользователей в одном домене. Например, чтобы повысить безопасность привилегированных учетных записей, можно применить более строгие параметры к привилегированным учетным записям, а затем применить менее строгие параметры к учетным записям других пользователей. В некоторых случаях может потребоваться применить специальную политику паролей для учетных записей, пароли которых синхронизируются с другими источниками данных.

    Для хранения детально настроенных политик паролей в схеме AD DS существуют два новых класса объектов:

    • Контейнер Параметры паролей
    • Параметры пароля

    Дополнительные сведения об этих политиках см. в ad DS: подробные сведения о политиках паролей.

    Похожие публикации:
    1. Php 8 что нового
    2. Polyspace matlab что это
    3. Как выглядит фальшивая ссылка на дискорд нитро
    4. Как удалить элемент строки в python

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *